Die Analyse-Software für geschäftliche Prozesse Pentaho von Hitachi Vantara ist verwundbar.
Die Business-Intelligence-Software Pentaho ist über mehrere als "kritisch" eingestufte Sicherheitslücken angreifbar. Ob es bereits eine dagegen abgesicherte Version gibt, ist bislang unklar.
Hier könnte ein authentifizierter Angreifer eine präparierte Report-Bundle-Datei hochladen und aufgrund der Schwachstelle in BeanShell-Script-Funktionen Schadcode ausführen. Im zweiten Fall könnte ein unangemeldeter Angreifer SQL-Anfragen im Backend ausführen, warnen die Sicherheitsforscher.
Abgesicherte Version?
Die verbleibenden Lücken sind mit "niedrig" bis "hoch" eingestuft. Setzen Angreifer erfolgreich an einer Schwachstelle an, könnten sie etwa Authentifizierungsmechanismen umgehen.
Im Bericht der Sicherheitsforscher tauchen nur Empfehlungen für die Pentaho-Entwickler auf, wie sie die Lücken schließen könnten. Eine konkrete gepatchte Version nennt der Text nicht.
Auf eine Anfrage von heise Security antwortete Hawsec, dass ihnen trotz Nachfrage bei Hitachi Vantara selbst unklar ist, ob und in welcher Version die Sicherheitspatches eingeflossen sind. Sie gehen aber davon aus, dass die Patches mittlerweile implementiert sind. Die Implementierung war den Forschern zufolge wohl für die Versionen 9.2 beziehungsweise 9.3 vorgesehen. Die Antwort auf eine Anfrage an Hitachi Vantara steht noch aus.
[UPDATE 02.11.2021 12:55 Uhr]
Involvierte Sicherheitsforscher im Fließtext genannt.
Quelle: heise
Die Business-Intelligence-Software Pentaho ist über mehrere als "kritisch" eingestufte Sicherheitslücken angreifbar. Ob es bereits eine dagegen abgesicherte Version gibt, ist bislang unklar.
Schadcode- und SQL-Attacken
Vor den Lücken warnen die Sicherheitsforscher Alberto Favero (HawSec) and Altion Malka (Census Labs)Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Eigenen Angaben zufolge haben sie die Windows-64-Bit-Version Business Analytics 9.1.0.0-324 untersucht und insgesamt sechs Sicherheitslücken entdeckt. Zwei davon (CVE-2021-31599, CVE-2021-31600) sind als kritisch eingestuft.Hier könnte ein authentifizierter Angreifer eine präparierte Report-Bundle-Datei hochladen und aufgrund der Schwachstelle in BeanShell-Script-Funktionen Schadcode ausführen. Im zweiten Fall könnte ein unangemeldeter Angreifer SQL-Anfragen im Backend ausführen, warnen die Sicherheitsforscher.
Abgesicherte Version?
Die verbleibenden Lücken sind mit "niedrig" bis "hoch" eingestuft. Setzen Angreifer erfolgreich an einer Schwachstelle an, könnten sie etwa Authentifizierungsmechanismen umgehen.
Im Bericht der Sicherheitsforscher tauchen nur Empfehlungen für die Pentaho-Entwickler auf, wie sie die Lücken schließen könnten. Eine konkrete gepatchte Version nennt der Text nicht.
Auf eine Anfrage von heise Security antwortete Hawsec, dass ihnen trotz Nachfrage bei Hitachi Vantara selbst unklar ist, ob und in welcher Version die Sicherheitspatches eingeflossen sind. Sie gehen aber davon aus, dass die Patches mittlerweile implementiert sind. Die Implementierung war den Forschern zufolge wohl für die Versionen 9.2 beziehungsweise 9.3 vorgesehen. Die Antwort auf eine Anfrage an Hitachi Vantara steht noch aus.
[UPDATE 02.11.2021 12:55 Uhr]
Involvierte Sicherheitsforscher im Fließtext genannt.
Quelle: heise
